농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 서버운영 시스템 삭제명령이 실행된 한국IBM 직원의 노트북에서 출처가 의심스러운 중국발 IP(인터넷 프로토콜)가 포착돼 경로를 역추적하고 있다고 26일 밝혔다.

검찰은 이 노트북에 접속 흔적을 남긴 수백개의 국내외 IP 가운데 중국에서 접속된 여러 개의 IP를 발견하고 그 경로를 확인중이며 이번 사태와의 연관성 여부를 캐고 있다.

검찰 수사 관계자는 "북한의 소행이라고 단정해 말할 수는 없으나 모든 가능성을 열어놓고 수사하고 있다"고 말했다.

검찰은 특히 이들 가운데 일부가 북한에서 사이버 테러용으로 주로 쓰는 IP일 가능성도 있다고 보고 국정원 사이버테러대응센터와 공조 수사를 진행중인 것으로 알려졌다.

이와 관련, 검찰은 지난 2009년 발생한 '7.7디도스(분산서비스거부) 대란' 당시 공격에 사용된 IP가 이번 중국발 IP와 경로 등에서 유사한 점이 있는지를 면밀히 분석하고 있다.

7.7 디도스 공격은 2009년 7월 7~9일 61개국에서 435대의 서버를 이용해 한국과 미국 주요기관 35개 사이트를 해킹한 사건으로 공격 근거지가 중국에 있는 북한 체신성으로 밝혀진 바 있다.

검찰은 일단 문제의 노트북이 농협IT본부 외부에서 인터넷에 접속된 사실을 확인하고 이 과정에서 좀비PC나 원격조종을 통해 삭제명령 프로그램 파일이 노트북에 심어졌을 가능성이 높은 것으로 보고 있다.

검찰은 이번 사태를 초래한 삭제명령 프로그램 파일에 대한 막바지 분석 작업을 벌이고 있으며 농협IT본부(전산센터) 및 한국IBM 직원들에 대한 소환 조사도 계속하고 있다. <연합뉴스>